Аудит информационной безопасности

                                    Зміст 

 1. Що таке аудит безпеки?  

 2. Види аудиту безпеки  

3. Склад робіт по проведенню аудиту безпеки  

4. Збір початкових даних для проведення аудиту  

 5. Оцінка рівня безпеки АС  

 6. Результати аудиту безпеки 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1. Що таке аудит  безпеки?  

Не дивлячись  на те, що в даний час ще не сформувалося сталого визначення аудиту безпеки, в загальному випадку його можна  представити у вигляді процесу  збору і аналізу інформації про  АС, необхідною для подальшого проведення якісної або кількісної оцінки рівня захисту від атак зловмисників. 

Існує безліч випадків, в яких доцільно проводити аудит  безпеки. Ось лише деякі з них: 

• аудит АС з метою підготовки технічного завдання на проектування і  розробку системи захисту інформації;

 

• аудит АС після впровадження системи безпеки  для оцінки рівня  її ефективності;

 

• аудит, направлений на приведення системи безпеки, що діє, у відповідність  вимогам російського  або міжнародного законодавства;

 

• аудит, призначений для  систематизації і впорядковування існуючих заходів захисту

      інформації;  

• аудит в цілях розслідування інциденту, що відбувся, пов′язаного з порушенням інформаційної безпеки.

 
 

Як правило, для  проведення аудиту притягуються зовнішні компанії, які надають консалтингові послуги в області інформаційної безпеки. Ініціатором процедури аудиту може бути керівництво підприємства, служба автоматизації або служба інформаційної безпеки. У ряді випадків аудит також може проводитися на вимогу страхових компаній або регулюючих органів.

Аудит безпеки  проводиться групою експертів, чисельність  і склад якої залежить від цілей  і завдань обстеження, а також  складності об’єкту оцінки. 
 
 
 
 
 

У число завдань, які вирішуються в ході проведення аудиту інформаційної безпеки входять: 

• збір та аналіз вихідних даних про організаційну  та функціональної структурі ІТС  організації, необхідних для оцінки стану інформаційної безпеки;
• аналіз існуючої політики забезпечення інформаційної безпеки на предмет повноти та ефективності;
• аналіз інформаційних та технологічних ризиків пов'язаних із здійсненням погроз інформаційної безпеки;
• здійснення тестових спроб несанкціонованого доступу до критично важливих вузлів ІТС та визначення уразливості в установках захисту даних вузлів;
• формування рекомендацій по розробці (або доопрацювання) політики забезпечення інформаційної безпеки на підставі аналізу існуючого режиму інформаційної безпеки;
• формування пропозицій щодо використання існуючих та встановлення додаткових засобів захисту інформації для підвищення рівня надійності та безпеки ІТС організації.

 

Мета проведення експертного аудиту інформаційної  безпеки - оцінка стану безпеки ІТС  та розробка рекомендацій щодо використання комплексу організаційних заходів  та програмно-технічних засобів, спрямованих  на забезпечення захисту інформаційних та інших ресурсів ІТС від загроз інформаційної безпеки. 

Експертний аудит  інформаційної безпеки є початковим етапом робіт зі створення комплексної  системи захисту інформації ІТС. Ця підсистема є сукупність заходів  організаційного та програмно-технічного рівня, які спрямовані на захист інформаційних ресурсів ІТС від загроз інформаційній безпеці, пов'язаних із порушенням доступності, цілісності і конфіденційності інформації, що зберігається і оброблюваної інформації. 

Експертний аудит інформаційної безпеки дозволяє прийняти обгрунтовані рішення щодо вжиття заходів захисту, необхідних для окремо взятої організації, оптимальних у співвідношенні їх вартості та можливості здійснення загроз порушення інформаційної безпеки. 
 
 
 
 
 

2. Види аудиту безпеки  

В даний час  можна виділити наступні основні  види аудиту інформаційної безпеки: 

• експертний  аудит безпеки, в  процесі якого  виявляються недоліки в системі заходів  захисту інформації на основі наявного досвіду експертів, що беруть участь в процедурі обстеження;

 

• оцінка  відповідності рекомендаціям  Міжнародного стандарту  ISO 17799, а також вимогам керівних документів ФСТЕК (Гостехкоміссиі);

 

• інструментальний  аналіз захищеності  АС, направлений на виявлення і усунення уязвімостей програмно-апаратного забезпечення системи;

 

• комплексний аудит, що включає  всі вищеперелічені форми проведення обстеження.

 
 

Кожний з вищеперелічених  видів аудиту може проводитися окремо або в комплексі залежно від  тих завдань, які необхідно вирішити підприємству. Як об’єкт аудиту може виступати як АС компанії в цілому, так і її окремі сегменти, в яких проводиться обробка інформації, належному захисту. 

3. Склад робіт по  проведенню аудиту  безпеки  

В загальному випадку  аудит безпеки, незалежно від  форми його проведення, складається з чотирьох основних етапів, кожний з яких передбачає виконання певного круга завдань (мал. 1). 

Малюнок 1: Основні етапи  робіт при проведенні аудиту безпек 
 

На першому  етапі спільно із Замовником розробляється  регламент, що встановлює склад і порядок проведення робіт. Основне завдання регламенту полягає у визначенні меж, в рамках яких буде проведено обстеження. Регламент є тим документом, який дозволяє уникнути взаємних претензій по завершенню аудиту, оскільки чітко визначає обов′язки сторін. 

Як правило, регламент  містить наступну основну інформацію: 

• склад робочих груп від  Виконавця і Замовника, що беруть участь в  процесі проведення аудиту;
• перелік інформації, яка буде надана Виконавцеві для проведення аудиту;
• список і місцеположення об’єктів Замовника, що підлягають аудиту;
• перелік ресурсів, які розглядаються як об’єкти захисту (інформаційні ресурси, програмні ресурси,  фізичні ресурси і т.д.);
• модель погроз інформаційній безпеці, на основі якої проводиться аудит;
• категорії користувачів, які розглядаються як потенційні порушники;
• порядок і час проведення інструментального обстеження автоматизованої системи Замовника.

 

На другому  етапі, відповідно до узгодженого регламенту, здійснюється збір початкової інформації. Методи збору інформації включають інтерв′ювання співробітників Замовника, заповнення опитних листів, аналіз наданої організаційно-розпорядливої і технічної документації, використання спеціалізованих інструментальних засобів. 

Третій етап робіт припускає проведення аналізу  зібраної інформації з метою оцінки поточного рівня захищеності  АС Замовника. За наслідками проведеного аналізу на четвертому етапі проводиться розробка рекомендацій по підвищенню рівня захищеності АС від погроз інформаційній безпеці.  

Нижче в докладнішому варіанті розглянуті етапи аудиту, пов′язані із збором інформації, її аналізом і розробкою рекомендацій по підвищенню рівня захисту АС. 
 
 
 
 
 

Таблиця 1. Перелік вихідних даних, необхідних для  проведення аудиту безпеки 

 
 
 
 
 
 
 
 

Як вже зазначалося  вище, збір вихідних даних може здійснюватися  з використанням таких методів: 

• інтерв'ювання співробітників Замовника, що володіють необхідною інформацією. При цьому інтерв'ю, як правило, проводиться як з технічними фахівцями, так і з представниками керівної ланки компанії. Перелік питань, які планується обговорити на процесі інтерв'ю, узгоджується заздалегідь;
• надання опитувальних листів з певної тематики, самостійно заповнених співробітниками Замовника. У тих випадках, коли представлені матеріали не повністю дають відповіді на необхідні питання, проводиться додаткове інтерв'ювання;
• аналіз існуючої організаційно-технічної документації, що використовується Замовником;
• використання спеціалізованих програмних засобів, які дозволяють отримати необхідну інформацію про склад і настройках програмно-апаратного забезпечення автоматизованої системи Замовника. Так, наприклад, в процесі аудиту можуть використовуватися системи аналізу захищеності (Security Scanners), які дозволяють провести інвентаризацію наявних мережевих ресурсів і виявити наявні в них уразливості. Прикладами таких систем є Internet Scanner (компанії ISS) і XSpider (компанії Positive Technologies).

 
 

4. Оцінка рівня безпеки АС 

Після збору  необхідної інформації проводиться  її аналіз з метою оцінки поточного  рівня захищеності системи. Методологія  аналізу ризиків в загальному вигляді була розглянута в рамках лекції 3. В процесі проведення аудиту безпеки можуть використовуватися спеціалізовані програмні комплекси, які дозволяють автоматизувати процес аналізу вихідних даних і розрахунку значень ризиків. Прикладами таких комплексів є "Гриф" і "Кондор" (компанії "Digital Security"), а також "Авангард" (Інституту Системного Аналізу РАН). 
 
 
 
 
 
 
 
 

5. Результати аудиту  безпеки 

На останньому етапі проведення аудиту інформаційної  безпеки розробляються рекомендації щодо вдосконалення організаційно-технічного забезпечення підприємства. Такі рекомендації можуть включати в себе наступні типи дій, спрямованих на мінімізацію виявлених ризиків: 

• зменшення ризику за рахунок використання додаткових організаційних і технічних засобів  захисту, що дозволяють знизити ймовірність  проведення атаки або зменшити можливі збитки від неї. Так, наприклад, установка міжмережевих екранів в точці підключення АС до мережі Інтернет дозволяє істотно знизити ймовірність проведення успішної атаки на загальнодоступні інформаційні ресурси АС, такі як Web-сервери, поштові сервери і т.д.;
• ухилення від ризику шляхом зміни архітектури або схеми інформаційних потоків АС, що дозволяє виключити можливість проведення тієї чи іншої атаки. Так, наприклад, фізичне відключення від мережі Інтернет сегмента АС, в якому обробляється конфіденційна інформація, дозволяє виключити атаки на конфіденційну інформацію з цієї мережі;
• зміна характеру ризику в результаті вживання заходів по страхуванню. Як приклади такої зміни характеру ризику можна навести страхування обладнання АС від пожежі або страхування інформаційних ресурсів від можливого порушення їх конфіденційності, цілісності та доступності. В даний час російських компаній вже пропонують послуги зі страхування інформаційних ризиків;
• прийняття ризику в тому випадку, якщо він зменшений до того рівня, на якому він не представляє небезпеки для АС.